Ringkasan Assured Open Source Software

Assured Open Source Software (Assured OSS) memungkinkan Anda memanfaatkan keamanan dan pengalaman yang diterapkan Google pada software open source (OSS) dengan menyertakan paket OSS yang sama yang diamankan dan digunakan Google ke dalam alur kerja developer Anda sendiri.

Assured OSS memungkinkan Anda melakukan hal berikut:

• Dapatkan paket OSS Anda dari pemasok yang tepercaya dan terkenal.
• Pelajari lebih lanjut isi paket dengan SBOM Tepercaya yang disediakan dalam format standar industri seperti SPDX.
• Pelajari ancaman dan keamanan paket dengan informasi VEX dalam format standar industri seperti CycloneDX.
• Mengurangi risiko keamanan karena Google secara aktif memindai, menemukan, dan memperbaiki kerentanan baru dalam paket pilihan.
• Tingkatkan kepercayaan terhadap integritas OSS yang Anda gunakan melalui provenance yang ditandatangani dan jelas.
• Pilih dari lebih dari seribu paket Java, Go, dan Python paling populer, termasuk project machine learning dan kecerdasan buatan umum seperti TensorFlow, Pandas, dan Scikit-learn.

Paket open source dibuat oleh Google dengan cara yang aman. Paket ini memenuhi persyaratan Supply-chain Levels for Software Artifacts (SLSA) level 3 dan memiliki asal serta SBOM yang dapat diverifikasi.

Tingkatan Assured OSS

Assured OSS memiliki tingkat Gratis dan tingkat Premium. Paket Premium tersedia saat Anda membeli Security Command Center Enterprise.

Paket Gratis mencakup:

• Paket open source Python, Go, dan Java di repositori yang diseleksi.
• Langkah-langkah penyiapan manual.
• Repositori pilihan yang dibuat dalam project yang dikelola Google.
• Endpoint proxy universal untuk paket open source. Proxy ini memungkinkan Anda mendownload paket open source dan metadatanya dari satu sumber, terlepas dari apakah paket tersebut dibuat oleh Google atau tidak.
• Dukungan untuk akses akun Amazon Web Service (AWS).

Paket Premium memungkinkan Anda mengintegrasikan Assured OSS dengan Security Command Center Enterprise. Paket ini mencakup hal berikut:

• Paket open source Python, Go, dan Java di repositori yang diseleksi.
• Paket open source JavaScript di repositori kanonis.
• Penyiapan otomatis sebagai bagian dari proses aktivasi Security Command Center Enterprise.
• Repositori pilihan yang dibuat dalam project yang Anda tentukan.
• Metadata paket universal yang dikumpulkan dan ditandatangani oleh Google. Metadata ini memberikan informasi tentang build paket, kerentanan, dan kondisi paket. Informasi kesehatan paket hanya tersedia untuk paket yang dibuat oleh Google.

Untuk mengetahui informasi selengkapnya tentang harga Security Command Center Enterprise, lihat Harga untuk paket Enterprise.

Opsi repositori Assured OSS

Paket OSS terjamin disimpan di repositori Artifact Registry yang dikelola Google. Anda dapat mengakses dan mendownload paket open source yang ditawarkan oleh Assured OSS menggunakan salah satu metode berikut:

• Siapkan repositori jarak jauh (juga disebut mirror atau proxy) di lingkungan Anda untuk bertindak sebagai proxy bagi repositori Artifact Registry yang dikelola Google. Developer Anda dapat terhubung ke repositori jarak jauh untuk mendownload paket. Gunakan metode ini jika Anda menggunakan pengelola repositori seperti Jfrog Artifactory atau Sonatype Nexus.

• Hubungkan ke repositori Artifact Registry secara langsung menggunakan akun layanan. Gunakan metode ini jika developer menggunakan alat build seperti Maven, Gradle, Go, atau pip.

• Gunakan repositori upstream virtual yang berfungsi sebagai satu titik akses bagi developer Anda sehingga mereka dapat mendownload, menginstal, atau men-deploy paket.
  Di tingkat Premium, dua repositori virtual dibuat secara otomatis: satu untuk paket Java dan satu untuk paket Python. Di Paket gratis, Anda harus mengonfigurasi repositori virtual sendiri. Anda dapat menggunakan repositori standar Artifact Registry atau repositori jarak jauh Artifact Registry sebagai repositori virtual upstream Anda. Anda juga dapat menggunakan repositori jenis Assured OSS, yang merupakan wrapper di atas repositori virtual yang memiliki akses ke paket tingkat Gratis dan tingkat Premium. Repositori jenis OSS terjamin melakukan pemeriksaan sisi server.

Diagram berikut menunjukkan Assured OSS yang terhubung ke repositori jarak jauh.

Keamanan supply chain software

Assured Open Source Software adalah salah satu komponen yang dapat Anda gunakan untuk melindungi supply chain software Anda. Google Cloud Anda dapat menggunakan Assured Open Source Software bersama dengan produk dan fitur lain untuk meningkatkan postur keamanan alur kerja dan alat developer, dependensi software, sistem CI/CD yang digunakan untuk membangun dan men-deploy software Anda, serta lingkungan runtime seperti Google Kubernetes Engine dan Cloud Run. Google Cloud Untuk mempelajari lebih lanjut, lihat Keamanan supply chain software.

Langkah berikutnya

• Untuk menggunakan Paket gratis, lihat Mengaktifkan Assured OSS.
• Untuk berintegrasi dengan Security Command Center Enterprise, lihat Mengintegrasikan dengan Assured OSS untuk keamanan kode.